DSGVO, ePrivacy und EU AI Act: Der neue Compliance-Stack für Outbound

Europäisches B2B-Outbound war immer etwas vorsichtiger als US-Outbound, und 2024 wurde diese Vorsicht strukturell. Die DSGVO ist seit 2018 in Kraft. ePrivacy-Regeln variieren von Land zu Land. Und im August 2024 trat der EU AI Act in Kraft, mit Bestimmungen, die bis 2026 phasenweise greifen. Zusammen bilden sie einen echten Compliance-Stack, den jedes Team, das nach Europa verkauft, verstehen muss. Das ist keine Rechtsberatung, aber es ist der Rahmen, den die meisten Operatoren jetzt nutzen.

DSGVO — die Grundlage

Die DSGVO gilt für jede Verarbeitung personenbezogener Daten von EU-Bürgern, unabhängig davon, wo der Verarbeiter sitzt. Für Cold Outbound sind die relevanten Punkte:

• Eine Rechtsgrundlage ist erforderlich. Für B2B ist das fast immer „berechtigtes Interesse“ — Sie müssen begründen können, warum Ihre Ansprache verhältnismäßig, relevant und wenig eingreifend ist.
• Transparenz — Ihre erste Nachricht oder Ihre Website muss erklären, was Sie mit den Daten tun und wie man sich abmelden kann.
• Widerspruchsrecht — Der Prospekt kann jederzeit sagen, dass Sie aufhören sollen, und Sie müssen es sofort und dauerhaft respektieren.
• Datenminimierung — Behalten Sie nur, was Sie wirklich brauchen.

ePrivacy — die Länder-Ebene

ePrivacy ist eine Richtlinie, das heißt jedes EU-Land setzt sie leicht anders um. Deutschland (UWG) ist strenger als die meisten und verbietet faktisch Cold-E-Mails an Geschäftsadressen ohne vorherige Einwilligung. Frankreich und die Niederlande sind permissiver. Irland und das Vereinigte Königreich (nach Brexit, aber angeglichen) liegen dazwischen. Bevor Sie in ein Land senden, prüfen Sie die lokalen Regeln — sie sind für Cold E-Mail spezifisch wichtiger als die DSGVO.

Der EU AI Act — die neue Schicht

Der EU AI Act klassifiziert KI-Systeme nach Risiko. Die meisten KI-Werkzeuge im Vertrieb — Lead-Scoring, E-Mail-Drafting, Antwort-Klassifikation — fallen in die Kategorien „begrenztes Risiko“ oder „minimales Risiko“, was Transparenz-Pflichten, aber keine schwere Aufsicht bedeutet. Die Kernpunkte für Outbound:

• Transparenz über KI-Nutzung. Wenn Sie KI nutzen, um Nachrichten im großen Stil zu erzeugen, sollten Prospekte nachvollziehen können, dass sie mit KI-gestützter Kommunikation interagieren.
• Keine Emotionserkennung oder biometrische Kategorisierung von Prospekten ohne Einwilligung. Einige KI-SDR-Tools, die Ton oder Sentiment analysieren, fallen darunter.
• Kein Social Scoring von Personen. Lead-Scoring ist in Ordnung, solange es transparent ist und die Person widersprechen kann.

Die meisten harten Pflichten des AI Acts zielen auf Hochrisiko-Systeme (Gesundheit, Arbeit, Polizei), nicht auf Sales. Aber Transparenz-Pflichten gelten breit und werden 2025-2026 strenger.

Die praktische Compliance-Checkliste

1. Berechtigtes Interesse dokumentieren. Schreiben Sie einen Absatz, der erklärt, warum Ihr Outreach verhältnismäßig ist. Speichern Sie ihn. Wenn eine Aufsichtsbehörde fragt, haben Sie eine Antwort.
2. Funktionierender Ein-Klick-Abmelde-Link auf jeder Cold-E-Mail, auch der ersten.
3. Sperrliste über alle Domains und Sequencer geehrt. Eine Abmeldung aus einem Postfach muss im gesamten Stack wirken.
4. Datenschutzerklärung erreichbar aus jeder E-Mail — Link in der Signatur genügt.
5. Länder-spezifische Regeln geprüft für Deutschland, Frankreich, Niederlande und jedes Land, in das Sie nennenswertes Volumen senden.
6. KI-Offenlegung irgendwo in Ihrem Footer oder Ihrer Datenschutzseite, wenn Sie KI zum Verfassen nutzen.
7. Datenaufbewahrungs-Richtlinie — Prospekte, mit denen Sie 12 Monate nicht interagiert haben, löschen.
8. Audit-Trail darüber, welche Daten aus welcher Quelle wann kamen.

„Compliance hat aufgehört, ein juristisches Problem zu sein, und ist zu einem Produkt-Problem geworden. Wenn Ihr Stack es schwer macht, eine Abmeldung zu ehren, ist das die Schuld des Stacks."

Was das für Ihre 2025-Planung bedeutet

Budgetieren Sie Compliance als operative Position, nicht als einmalige Einrichtung. Europäisches Outbound erfordert jetzt laufendes Monitoring: Länder-Regel-Änderungen, AI-Act-Phasen und allgemein strengere Aufsicht. Teams, die das jetzt in ihren Workflow einbauen, ziehen den Teams voraus, die es als Feuerwehr-Übung behandeln, wenn der erste Bußgeldbescheid kommt.